رصدت وحدة استطلاع التهديدات الأمنية (الوحدة 42) التابعة لشركة بالو ألتو نتوركس خلال الأسبوع الماضي عينة جديدة من برمجية Disttrack الخبيثة، والتي يبدو أنها استخدمت في شن حملة هجمات شمعون مؤخراً، واستهدفت أكثر من مؤسسة في المملكة العربية السعودية. ويبدو أن الغرض الرئيسي من نشر برمجياتDisttrack الجديدة هو التدمير إذ كانت تستعد للبدء في عملية محو للبيانات بتاريخ 17 نوفمبر 2016، الساعة 8:45 مساءً. وعلى نحو مشابه لهجمات شمعون، تزامن هذا التوقيت مع نهاية أسبوع العمل في المملكة العربية السعودية، وبالتالي ستتاح الفرصة أما البرمجيات الخبيثة خلال فترة عطلة نهاية الأسبوع للانتشار في كامل الشبكة.
وقد كشفت شركة بالو ألتو نتوركس تفاصيل هجمات شمعون التي استهدفت شركات الطاقة في المملكة العربية السعودية للمرة الأولى في شهر أغسطس من العام 2012، وذلك بهدف إدخال البرمجية الخبيثة في أنظمتها Disttrack، وهي عبارة عن برامج متعددة الأغراض، وينتهج سلوك برمجية الدودة الخبيثة من خلال محاولته الانتشار والانتقال إلى الأنظمة الأخرى المرتبطة بالشبكة المحلية، وذلك عن طريق استخدام الحسابات والبيانات المعتمدة المسروقة من المدراء. والأهم من ذلك، تشتهر هذه البرمجية بقدرتها على تدمير البيانات، وإخراج الأنظمة المصابة عن العمل. وقد أسفرت حملة الهجمات قبل أربع سنوات عن إصابة وتعطل أكثر من 30,000 جهاز.
وتركز البرمجيات الخبيثة Disttrack بشكل رئيسي على تدمير البيانات، ومحاولة إلحاق الضرر وتدمير أكبر عدد ممكن من الأنظمة، وللقيام بهذه المهمة، تحاول هذه البرمجيات الخبيثة الانتشار والانتقال إلى الأنظمة الأخرى المرتبطة بالشبكة، وذلك باستخدام حسابات وبيانات معتمدة لمدراء ومسؤولين تمت قرصنتها. وهو أسلوب يماثل لهجمات شمعون التي انطلقت في العام 2012، التي رافقها قرصنة بيانات وحسابات معتمدة قبيل شن، وتم دمجها وبرمجتها ضمن بنية البرمجيات الخبيثة من أجل المساعدة في سرعة انتشارها. كما تملك برمجية Disttrack الخبيثة القدرة على تحميل وتنفيذ تطبيقات إضافية على النظام، وضبط تواريخ محددة عن بعد للبدء بعملية مسح وتعطيل الأنظمة.
وتنتقل برمجية Disttrack الخبيثة إلى العديد من الأنظمة الأخرى بشكل تلقائي، وذلك بواسطة الحسابات والبيانات المعتمدة المسروقة. وتحتوي عينة البرمجية الخبيثة Disttrack التي قامت بالو ألتو نتوركس بتحليلها على أسماء النطاقات الداخلية وحسابات وبيانات المدراء المعتمدة من قبل المؤسسات المستهدفة. ويبدو أن اسم النطاق الداخلي والحسابات والبيانات المعتمدة قد تمت سرقتها وقرصنتها قبيل إنشاء هذه البرمجية، فهو ليس اسم نطاق عام، والحسابات المقرصنة ليست ضعيفة بما يكفي للحصول عليها بواسطة التخمين، إلا عن طريق هجمات قوية أو دليلية.
من جهةٍ أخرى، تستخدم برمجية Disttrack الخبيثة أسماء النطاقات الداخلية والحسابات والبيانات المعتمدة للدخول إلى الأنظمة المرتبطة بنفس قطاع الشبكة عن بعد، حيث تقوم بتحديد قطاع الشبكة المحلية المشترك مع النظام المستهدف (وهو ما يطلق عليه الحصول على اسم المضيف)، وذلك من خلال الحصول على عنوان بروتوكول الإنترنت IP الخاص بالنظام (وهو ما يطلق عليه اسم الاستضافة بواسطة الاسم). بعد ذلك، يتم استخدام عناوين بروتوكول الإنترنت للنظام تعداد الـ 24 شبكة (x.x.x.0-255) التي يرتبط بها النظام، لتحاول البرمجية الخبيثة الانتشار والانتقال إلى هذه الأنظمة عن بعد.
ويحظى جميع عملاء شركة بالو ألتو نتووركس بالحماية الكاملة من البرمجية الخبيثة Disttrack، إذ تم التعرّف على جميع العينات المعروفة لهذه البرمجية الخبيثة من قبل جدار الحماية WildFireالذي توفره الشركة، كما أن وضعية الضبط التلقائي تمكن العملاء من مراقبة أنشطة برمجيةDisttrack الخبيثة عبر الوسم Disttrack.